Информационная служба:
 

1.  Введение

Настоящая Политика разработана в соответствии с требованиями нормативно-правовых актов Российской Федерации, регулирующих отношения, связанные с обработкой персональных данных (далее - ПДн).

Политика определяет требования к порядку сбора, обработки, хранения, передачи и защиты ПДн субъектов, реализуемые в АО «Банк ЖилФинанс». Действие настоящей Политики распространяется на все процессы по работе с ПДн в Банке, как с использованием средств автоматизации, так и без использования таких средств. Целью настоящей Политики является соблюдение прав и свобод человека и гражданина при обработке его ПДн в информационных системах Банка, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

2.  Нормативная документация При разработке требований к обработке ПДн в Банке использовались положения и требования следующих нормативно-правовых документов:

• Федеральный закон Российской Федерации от 27 июля 2006 г. №152-ФЗ «О персональных данных»;
•    Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119
«Об утверждении требований к защите персональных данных при их обработке в информационных системах
персональных данных»;
•    Постановление Правительства Российской Федерации от 15 сентября 2008 г. №687
«Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без
использования средств автоматизации»;
• Приказ Федеральной службы по техническому и экспортному контролю Российской Федерации от 18
февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».


3.  Система менеджмента информационной безопасности

Система менеджмента информационной безопасности создаётся для поддержания эффективного процесса обеспечения информационной безопасности при обработке ПДн в информационной инфраструктуре Банка.

В основе системы менеджмента информационной безопасности лежит цикл непрерывного улучшения качества также известный, как модель Деминга. Этот цикл состоит из четырех последовательно выполняемых этапов: планирование, внедрение, мониторинг, совершенствование.


3.1.Планирование

Планирование системы информационной безопасности основывается на анализе информационных рисков, что позволяет обеспечить адекватность мер по защите обрабатываемых ПДн по отношению к ценности защищаемых данных и актуальности соответствующих угроз.

Для проведения анализа рисков осуществляется оценка и категорирование обрабатываемых в Банке ПДн, выявляются актуальные угрозы информационной безопасности, а также проводится анализ защищенности компонентов информационной инфраструктуры Банка. На основе результатов анализа информационных рисков выбираются соответствующие меры по их обработке.

При проведении анализа информационных рисков и выборе мер по защите обрабатываемых ПДн принимаются во внимание регулирующие требования законодательства Российской Федерации и применимых международных и отраслевых стандартов.

3.2.Внедрение

На данном этапе внедряются меры по обработке информационных рисков, выбранные на этапе
планирования.

Внедрение мер по защите обрабатываемых ПДн осуществляется при помощи документированных процедур, изложенных в соответствующих нормативных документах (политиках, регламентах, инструкциях), описывающих порядок применения методов защиты  в рамках отдельных процессов информационной безопасности при обработке ПДн.

Одновременно с мерами по защите обрабатываемых ПДн внедряются методы контроля их эффективности.

В целях обеспечения возможности контроля процедуры информационной безопасности, для каждой процедуры определяются виды контрольных следов её выполнения (записей), свидетельствующих о её эффективности.

3.3.Мониторинг

Мониторинг функционирования методов защиты обрабатываемых ПДн проводится с целью выявления инцидентов информационной безопасности и проверки соответствия практики применения защитных мер принятым планам обработки информационных рисков.

Для контроля эффективности выполнения документированных процедур информационной безопасности анализируются соответствующие контрольные следы (записи), свидетельствующие о результатах их выполнения.

Для проверки соответствия системы обеспечения информационной безопасности при обработке ПДн предъявляемым к ней требованиям Службой информационной безопасности должен проводиться регулярный аудит.

3.4.Совершенствование

Результаты, полученные на этапе мониторинга, используются для совершенствования системы обеспечения информационной безопасности.

Выявленные недостатки, несоответствия системы предъявляемым требованиям, а также зарегистрированные инциденты информационной безопасности подлежат тщательному изучению с целью выработки эффективных корректирующих и превентивных действий.

Корректирующие и превентивные действия устраняют существующие и потенциальные недостатки системы обеспечения информационной безопасности Банка при обработке ПДн, что в итоге приводит к достижению основной цели – поддержанию и улучшению качества защиты обрабатываемых данных.

4.  Обработка персональных данных

4.1. Принципы обработки ПДн

Обработка ПДн осуществляется на основе следующих принципов:
1)   Обработка ПДн осуществляется на законной и справедливой основе.
2)   Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей.
Обработка ПДн, несовместимая с целями сбора ПДн, не допускается.
3) Не допускается объединение баз данных, содержащих персональные данные, обработка которых
осуществляется в целях, несовместимых между собой.
4) Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5) Содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки. Обрабатываемые
персональные данные не избыточны по отношению к заявленным целям их обработки.
6) При обработке ПДн обеспечиваются точность ПДн, их достаточность, а в необходимых случаях и
актуальность по отношению к целям обработки ПДн. Банк принимает на себя необходимые меры, либо
обеспечивает их принятие по удалению или уточнению неполных или неточных данных.

4.2. Условия обработки ПДн

Обработка ПДн в Банке осуществляется с письменного согласия субъекта  ПДн  на обработку его ПДн.
Обработка ПДн без получения согласия субъекта ПДн допускается в случае, если:

1) обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Банк функций, полномочий и обязанностей;
2) обработка ПДн необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
3) обработка ПДн необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта ПДн на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
4) обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
5) обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта
ПДн, если получение согласия субъекта ПДн невозможно;
6) обработка ПДн необходима для осуществления прав и законных интересов Банка или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
7) обработка ПДн необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта ПДн;
8) обработка ПДн осуществляется в статистических или иных исследовательских целях, при условии
обязательного обезличивания ПДн. Исключение составляет обработка ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации;
9) осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн, либо по его просьбе;
10) осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в
соответствии с федеральным законом.

4.3. Хранение персональных данных

Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн.

Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.

Хранение ПДн в Банке осуществляется как в электронном виде, так и на бумажных носителях.

ПДн, хранимые в электронном виде, обрабатываются в сетях Банка и центра обработки данных ООО "Метрекс".

Хранение ПДн на бумажных носителях производится в условиях, исключающих несанкционированный доступ к ним.

4.4.Передача персональных данных третьим лицам

Банк вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. При этом  Банк  в  договоре 
обязует  лицо,  осуществляющее  обработку  ПДн  по  поручению  Банка, соблюдать принципы и правила обработки ПДн, предусмотренные федеральным законом №152- ФЗ «О персональных данных».

В поручении Банка определен перечень действий с персональными данными, которые должны совершаться лицом, осуществляющим обработку ПДн, и цели обработки.

В поручении Банка установлена обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также указаны требования к защите обрабатываемых ПДн.

Ответственность перед субъектом ПДн за действия указанного лица несет Банк, а лицо, осуществляющее обработку ПДн, несет ответственность перед Банком.

Банк обязуется и обязует иные лица, получивших доступ к ПДн, не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законом.

4.4. Трансграничная передача персональных данных


Банк не осуществляет трансграничную передачу ПДн.

4.5. Уточнение, блокирование и уничтожение персональных данных


В случае достижения цели обработки ПДн Банк прекращает обработку ПДн, если иное не предусмотрено соглашением между  Банком и субъектом ПДн.

В случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя либо уполномоченного органа по защите прав субъектов ПДн Банк предпринимает меры по блокированию этих ПДн с момента такого обращения или получения указанного запроса на период проверки.

В случае выявления неточных ПДн при обращении субъекта ПДн или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн Банк принимает меры по блокированию ПДн, относящихся к этому субъекту ПДн, с момента такого обращения или получения указанного запроса на период проверки при условии, что блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.

В случае подтверждения факта неточности ПДн Банк  на основании  сведений, представленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов  обязуется  уточнить персональные данные в срок, не превышающий семи рабочих
дней со дня представления таких сведений и снять блокирование ПДн.

В случае выявления неправомерной обработки ПДн, осуществляемой Банком или лицом, действующим по поручению Банка, Банк предпринимает меры по прекращению неправомерной обработки ПДн в срок, не превышающий трех рабочих дней с даты выявления подобного факта. В случае если обеспечить правомерность обработки ПДн невозможно, Банк обязуется уничтожить такие ПДн в срок, не превышающий десяти рабочих дней с даты выявления подобного факта.

В случае отсутствия возможности уничтожения ПДн в течение указанного срока, Банк осуществляет блокирование таких ПДн и обеспечивает уничтожение ПДн в срок, не превышающий 6 месяцев со дня выявления неправомерной обработки ПДн, если иной срок не установлен федеральным законодательством. В случае если устранение допущенных нарушений или уничтожение ПДн было произведено по результатам
обработки обращения субъекта ПДн или его представителя, и (или) запроса уполномоченного органа по защите прав субъектов ПДн, о предпринятых мерах Банк уведомляет субъекта ПДн или его представителя, и (или) уполномоченный орган по защите прав субъектов ПДн.

В случае отзыва субъектом ПДн согласия на обработку его ПДн Банк прекращает их обработку, если иное не предусмотрено соглашением между Банком и субъектом ПДн, либо если Банк вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных законом «О персональных данных» или другими федеральными законами.

После окончания установленного срока хранения во внутрибанковском архиве, ПДн на бумажных носителях уничтожаются по акту сторонней  организацией  с помощью  средств, гарантирующих невозможность восстановления носителя.

Уничтожение ПДн, обрабатываемых в электронном виде, производится способом, исключающим возможность использования и восстановления информации.

4.6. Обеспечение безопасности персональных данных

При обработке ПДн Банк принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

Обеспечение безопасности ПДн достигается путем применения следующих мер:

1) определением угроз безопасности ПДн при их обработке в информационных системах ПДн (далее
ИСПДн);
2) применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в
ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает
установленные Правительством Российской Федерации уровни защищенности ПДн;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты
информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию
ИСПДн;
5)   учетом машинных носителей ПДн;
6) обнаружением фактов несанкционированного доступа к ПДн и принятием необходимых мер;
7) восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к
ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе ПДн,
а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе ПДн;
9)   контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности
информационных систем ПДн.
С учетом возможного вреда субъекту ПДн, объема и содержания обрабатываемых ПДн, вида деятельности,
при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности ПДн
Банк осуществляет классификацию ИСПДн по целям обработки ПДн, а также уровням защищенности и
обеспечивает требования к защите ПДн при их обработке в ИСПДн, исполнение которых обеспечивает
установленные специальной комиссией Банка уровни защищенности ПДн.

5.  Доступ к персональным данным


Банк обязуется обеспечивать конфиденциальность ПДн, принимать меры для недопущения распространения ПДн без согласия субъекта ПДн или наличия иного законного основания.

5.2. Внутренний доступ

Под внутренним доступом понимается доступ к ПДн, предоставляемый сотрудникам Банка. Внутренний доступ к ПДн осуществляется на основании Приказа о допуске к обработке ПДн. Права доступ сотрудников Банка к ПДн предоставляются по принципу их необходимости для непосредственного исполнения должностных обязанностей. Сотрудник Банка допускается к обработке ПДн только после ознакомления с внутренними нормативными документами Банка, регламентирующими обработку ПДн, а также при наличии в его трудовом договоре соответствующего раздела о защите ПДн.

5.3. Доступ субъектов персональных данных

Субъект ПДн имеет право на получение доступа к принадлежащим ему ПДн в целях ознакомления, уточнения, блокирования или уничтожения ПДн.

Банк обеспечивает предоставление ПДн субъекту ПДн в доступной форме с обеспечением отсутствия в них ПДн, относящихся к другим субъектам ПДн. Исключение составляют случаи наличия законных оснований для раскрытия таких ПДн.

Для получения доступа к ПДн субъекту ПДн или его представителю необходимо направить в Банк письменный запрос на доступ к ПДн.

Запрос должен содержать следующую информацию:

•    серию  и  номер  документа,  удостоверяющего  личность  субъекта  ПДн  или  его представителя;
•    сведения о дате и месте выдачи этого документа;
•    реквизиты заключенного договора с Банком;
•    подпись субъекта ПДн или его представителя. Повторный запрос в целях получения ПДн возможен не ранее, чем через тридцать дней после
первоначального обращения, если иное не установлено федеральным законом или договором с Банком.Повторный запрос ПДн субъектом до истечения указанного срока возможен в случае, если ПДн не были предоставлены субъекту в полном объеме в результате рассмотрения его первоначального обращения. При этом повторный запрос должен содержать обоснование направления повторного запроса.

Банк вправе отказать субъекту ПДн в выполнении повторного запроса с предоставлением ему доказательств обоснованности отказа.

В соответствии с законом №152-ФЗ «О персональных данных» субъект ПДн имеет право получить следующие сведения:

1)   подтверждение факта обработки ПДн Банком;
2)   правовые основания и цели обработки ПДн;
3)   цели и применяемые Банком способы обработки ПДн;
4) наименование и место нахождения Банка, сведения о лицах (за исключением работников Банка),
которые имеют доступ к ПДн или которым могут быть раскрыты персональные данные на основании
договора с Банком или на основании федерального закона;
5) обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если
иной порядок представления таких данных не предусмотрен федеральным законом;
6)   сроки обработки ПДн, в том числе сроки их хранения;
7) порядок осуществления субъектом ПДн прав, предусмотренных законом "О персональных данных";
8) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению
Банка, если обработка поручена или будет поручена такому лицу;
9)   иные сведения, предусмотренные законом «О персональных данных».
6.  Ответственность

В соответствии с требованиями законодательства РФ Банк предпринимает меры, необходимые и достаточные для обеспечения выполнения своих обязанностей, предусмотренных законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам, в частности, относится назначение Банком ответственного за организацию обработки ПДн и делегирование ему полномочий по организации и обеспечению защиты ПДн на постоянной основе.

Ответственный за организацию обработки ПДн в частности осуществляет:

1) надлежащий контроль за соблюдением Банком и его работниками требований законодательства
Российской Федерации о ПДн, в том числе требований к защите ПДн;
2) организацию работ по подготовке внутренних документов по обработке ПДн и вынесение их на
согласование и утверждение;
3) координацию работ по обеспечению соответствия бизнес-процессов и внутренних нормативных
документов Банка требованиям законодательства РФ в области защиты ПДн;
4) доведение до сведения работников Банка положений законодательства Российской Федерации о ПДн,
локальных актов по вопросам обработки ПДн, требований к защите ПДн;
5) организацию приема и обработки обращений и запросов субъектов ПДн или их представителей и (или)
осуществление контроль за приемом и обработкой таких обращений и запросов.

Банк обязуется осуществлять поддержание системы защиты ИСПДн в соответствии с требованиями законодательства РФ, поддерживать в актуальном состоянии нормативную документацию, в частности касающуюся информационной безопасности, контролировать внутренний доступ сотрудников к ПДн, обрабатывающихся в ИСПДн Банка.

Руководители структурных подразделений Банка несут непосредственную ответственность за обоснованность доступа сотрудников своих подразделений к ПДн.

К сотрудникам Банка, не исполняющим по своей вине возложенных на них обязанностей по соблюдению порядка работы с ПДн, могут применяться дисциплинарные взыскания в соответствии с Трудовым Кодексом.

Сотрудники Банка, виновные в нарушении норм, регулирующих работу с ПДн, несут дисциплинарную, административную, гражданско-правовую, уголовную и иную ответственность в соответствии с законодательством РФ.